Windows Server 2008 Benutzer am Switch anmelden per Radius Server und AD

[MetalForLive]

Hi,

Ich habe hier ein kleines Problem, das mich seit 4 Stunden beschäftigt und ich komme nicht weiter.

Ich habe einen Switch und will mich mit einem Active Directory Konto dort anmelden, das alles soll über NPS laufen.
Auf dem Switch ist alles eingestellt, er hat eine Verbindung zum Radius aber wenn ich mich mit dem test AD User am Switch anmelden will kommt immer "User faild login from Console" in der Ereignissanzeige vom Server wird der Anmeldeversuch gelistet.
Wie kann ich einen AD Benutzer authentifizieren sich an dem Switch anzumelden ?

 

[Klonky]

Erster Switch in der Domaine bei dem du NPS benutzen möchtest? Oder ist das ein spezielles Model, das nicht funktioniert?

Wird im Eventlog der Anmeldevorgang irgendwie weiter Dokumentiert oder nur als Versuch gelistet?

 

[MetalForLive]

Ja das ist der erste Switch.

Fehler beim Anmelden eines Kontos.

Antragsteller:
	Sicherheits-ID:		SYSTEM
	Kontoname:		PROJEKT-SERVER$
	Kontodomäne:		PROJEKT
	Anmelde-ID:		0x3e7

Anmeldetyp:			3

Konto, für das die Anmeldung fehlgeschlagen ist:
	Sicherheits-ID:		NULL SID
	Kontoname:		administrator
	Kontodomäne:		PROJEKT

Fehlerinformationen:
	Fehlerursache:		Unbekannter Benutzername oder ungültiges Kennwort.
	Status:			0xc000006d
	Unterstatus::		0xc000006a

Prozessinformationen:
	Aufrufprozess-ID:	0x418
	Aufrufprozessname:	C:\Windows\System32\svchost.exe

Netzwerkinformationen:
	Arbeitsstationsname:	
	Quellnetzwerkadresse:	-
	Quellport:		-

Detaillierte Authentifizierungsinformationen:
	Anmeldeprozess:		IAS
	Authentifizierungspaket:	MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
	Übertragene Dienste:	-
	Paketname (nur NTLM):	-
	Schlüssellänge:		0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an.  Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
	- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
	- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
	- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.

 

[DerGast]

Wie sehen die User Attribute und die Policys im IAS aus (Gruppen)?
Funktioniert es mit keinem User?
Kannst Du mal show running-config posten?

Und Standardfrage: Firmware des Switches aktuell?

 

[MetalForLive]

Ich installier die Rolle jetzt komplett neu und versuche es noch einmal, aber hier schon mal die Config vom Switch, die Firmware ist Neu

Wie sehen die User Attribute und die Policys im IAS aus (Gruppen)?

Was willst du genau wissen ?

Funktioniert es mit keinem User?

Ja mit keinem

=~=~=~=~=~=~=~=~=~=~=~= PuTTY log 2013.01.08 10:57:06 =~=~=~=~=~=~=~=~=~=~=~=
show conf

This command shows non-default configurations only.

Use 'show config all' to show both default and non-default configurations.


begin

!

#***** NON-DEFAULT CONFIGURATION *****

!

!

# Firmware Revision:  06.61.07.0010

!

#ip

set ip address 192.168.10.1 mask 255.255.255.0

!



#security

!



#system

set switch member 1 1 

!



#vlan

set vlan create 10

set vlan name 10 "TestVlan"

clear vlan egress 1 ge.1.1-2

set vlan egress 10 ge.1.1-2 untagged

set host vlan 10 

!



#Router Configuration

!



#arp

!



#arpinspection

!



#authentication

!



#banner

!



#cdp

!



#ciscodp

!



#console

!



#dhcp

!



#dhcpsnooping

!



#eapol

!



#flowcontrol

!



#garp

!



#gvrp

!



#history

!



#igmp

!



#inlinepower

!



#ipsec

!



#ipv6

!



#lacp

!



#length

!



#lldp

!



#linkflap

!



#logging

!



#logout

!



#mac

!



#macauthentication

!



#maclock

!



#mgmt-auth-notify

!



#mtu

!



#multiauth

!



#newaddrtrap

!



#nodealias

!



#cos state

!



#cos setting

!



#cos port-config

!



#cos port-resource

!



#cos reference

!



#policy

!



#port

set port vlan ge.1.1 10 

set port vlan ge.1.2 10 

!



#prompt

!



#pwa

!



#sflow

!



#txqmonitor

!



#radius

set radius enable

set radius retries 1

set radius timeout 2

set radius server 1 192.168.10.254 1645 :72984c2ee5f288e61a49673a346ef30a137bf711296a4070f83a036e22011e10a26c687b471b5504d3: realm management-access

!



#rmon stats

!



#rmon alarm

!



#rmon capture

!



#rmon channel

!



#rmon event

!



#rmon filter

!



#rmon history

!



#snmp

set snmp access ro security-model v1 exact read All notify All nonvolatile 

set snmp access ro security-model v2c exact read All notify All nonvolatile 

set snmp access public security-model v1 exact read All write All notify All nonvolatile 

set snmp access public security-model v2c exact read All write All notify All nonvolatile 

set snmp access public security-model usm exact read All write All notify All nonvolatile 

set snmp community :3fb03022e4966512343b511c263dcf1240739359ec6cad7d8c6277007e7e0657521e0641967b150156:

set snmp group ro user ro security-model v1 

set snmp group public user public security-model v1 

set snmp group ro user ro security-model v2c 

set snmp group public user public security-model v2c 

set snmp group public user public security-model usm 

set snmp user public authentication md5 :b67906a215f8dc1e59df88e461b93fe4: encryption des privacy :b67906a215f8dc1e59df88e461b93fe4:

set snmp view viewname All subtree 1

!



#sntp

!



#spantree

!



#ssh

!



#ssl

!



#summertime

!



#tacacs

!



#telnet

!



#tftp

!



#timezone

!



#vlanauthorization

!



#webview

!



#width

!

end




B5(su)->

 

[DerGast]

Was ist denn das für ein Switch?

 

[MetalForLive]

Enterasys B5G124-24

Ich probiere es nach der Mittagspause mal mit einem Cisco und guck ob da das selbe Problem ist.

 

[DerGast]

Server:
Du hast die Rolle installiert, den Server registriert (Register Server in AD oder so..), dann unter Clients und Servers unter "Clients" dein Switch mit dem vorher eingetippten Shared Key hinterlegt.

Dann hast Du im Radius noch die Policys -> Network Policy die Du konfigurieren musst um festzulegen welche Gruppe überhaupt darf (z.B. Vertrieb, Technik, Azubis, oder gesamte Domainusers). Hier gibt es auch irgendwo den Punkt "unverschlüsselte Authentifizierung", hier mal den Haken setzen.

Ich nehme an Du hast testweise die Request Policy auf Standard gelassen? Dann dürfte dort nichts blockieren.

 

[MetalForLive]

Hab nochmal alles überprüft was du gesagt hast, ist alles so gemacht, außer die Request Policy die kann ich nicht finden

 

[DerGast]

Die heißt Connection Request Policy und sollte sich direkt über der Network Policy befinden.
Dort steht dann eine default Poliy drin die "alles zulässt". Also wenn Du daran nichts bewusst geändert hast, sollte das nicht das Problem sein.
Was hast Du denn in der Network Policy für Conditions eingetragen? Hast Du dort User-Groups genommen und dann die "Domainuser" reingepackt?

Hast Du die Konfig im Switch nochmal gelöscht?
Hast Du unter Radius Client den Switch-Namen, dessen IP und den shared secret (z.B. 12345) eingetragen?

 

[MetalForLive]

Ahh stimmt da ist die, hab ne Deutsche Version vom Server, da heißt die "Verbindungsanforderungsrichtlinie"
Ich habe da einmal "NAP DHCP" "Windows-Authentifizierung für alle Benutzer Verwenden" und "Sichere verkabelte (Ethernet-) Verbindung"

In der Network Policy habe ich "Sichere verkabelte (Ethernet-) Verbindungen" "NAP DHCP Nicht kompatibel" "Nap DHCP Nicht NAP-fähig" und "Verbindungen mit Microsoft-Routing-und Remotezugriffsserver" das letzte hat ein Rotes Kreuz unten links im Zeichen und die anderen alle einen Grünen Haken.

Ich habe bei allen die Gruppe "Radius-User" hinzugefügt die ich im AD angelegt habe und in der Gruppe befindet sich auch der Testuser mit dem ich mich anmelden will.

 

[DerGast]

Könntest Du mal nen Screenshot von den beiden Policys machen?
Hast Du die angepasst/verändert oder sind das die automatisch angelegten?

 

[MetalForLive]

Also wenn ich NAP Konfigurieren will sagt der ich habe kein zertifikat, kann es auch daran liegen ?

Ergänzung (10. Januar 2013)

Ich habe jetzt mal Winradius getestet und wenn ich mich am Switch anmelde dann sagt er im log von Winradius "Authentication OK" aber am Switch kommt wieder "Username:"